Guida al GDPR per chi non ne vuol sapere: la vedi la luce in fondo al tunnel? … è il treno!


Vi rendete conto che alla attivazione del GDPR manca meno di un anno vero?

la vedi la luce in fondo al tunnel? … è il treno!

Allora ho provato un paio di giorni fa a spiegarti come leggere ed interpretare il significato di GDPR. Sono assolutamente certo e sicuro che tutto quanto scritto era già chiarissimo ai tuoi occhi, ma tant’è… provare a parlare amabilmente di un argomento tanto ameno non fa mai male.

Dicevo, in chiusura degli sproloqui nell’articolo precedente, che alcune note andavano premesse per meglio capire il testo.

In effetti se partiamo con il piede giusto magari non diventa una lettura amena, ma almeno comprensibile.

Tra le premesse della volta scorsa ne ho omesso volutamente una importantissima, giusto per darmi una scusa per proseguire a scrivere…

Le norme fissate dal GDPR sono il minimo livello di protezione

Le norme fissate dal GDPR sono il minimo livello di protezione richiesta dalla UE, questo significa che ogni stato membro può decidere norme più protettive che si accompagnino al testo.

In Italia l’esempio che balza subito agli occhi riguarda la gestione dei biscotti…er “…cookie” che da sola potrebbe generare una interessante sequenza di noiosissimi articoli 😊

La premessa è necessaria non perché abbia qualcosa contro gli Oreo (anche se preferisco i Krumiri o i cantucci toscani) ma perché il primo capitolo di questo affascinante romanzo che ci accingiamo a leggere è le disposizioni generali.

Il documento è diviso in 99 articoli sparsi in 11 capitoli che contengono diverse sezioni. Ovviamente per poter venirne a capo occorre leggerli in maniera “dinamica” perché spesso ci sono referenze avanti e indietro, a destra e a sinistra, sopra sotto e anche in un altro paio di dimensioni a noi invisibili ma chiaramente descritte dalla teoria unificata delle stringhe di cui vi invito a prendere conoscenza (a meno che non indossiate mocassini, sandali e o ciabatte, cosa che vi preclude gran parte della conoscenza umana) …

Per venirne a capo vi giro due link utili:

https://www.suiteprivacy.it/pages/testoregolamentoue.aspx (in italiano)

https://www.privacy-regulation.eu/en/index.htm (in un sacco di lingue tra cui l’italiano, ma ho messo la referenza in inglese perché fa più professionale…vuoi mettere…)

Capitolo Primo

Era una notte buia e tempestosa

 

Il primo capitolo inizia con l’emozionante articolo 1 che ci racconta di cosa si parla nel testo:

Articolo 1

  1. This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data.
  2. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.
  3. The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.

 

Lo so che in inglese è più sexy, ma se proprio vi difetta la lingua eccolo in linguaggio italico:

 

  1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

  2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

  3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Dalla lettura impariamo innanzi tutto che al punto 1 stiamo parlando di persone fisiche in relazione ai dati personali.

La cosa è importante per 2 motivi:

a: le persone giuridiche, le aziende, non sono soggette al GDPR…che tradotto vuol dire che il mio nome e cognome ed il mio indirizzo di casa sono GDPR, il nome della società “Pizza & Fichi INC.” e la sua sede legale non sono oggetto di GDPR

ci può venire incontro alla comprensione il “recital 14” che cita:

(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

b: i fantasmi, i personaggi storici e quelli di fantasia non sono soggetto al GDPR (quindi potete condividere liberamente il numero di telefono di Wonder Woman).

Se vogliamo meglio definire cosa significhi il concetto di protezione citato nel punto ci viene incontro il “recital” 1

(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Al punto 2 troviamo invece l’oggetto di questo esercizio, la protezione delle libertà individuali con il focus sui dati personali.

Il secondo punto è importante perché definisce chiaramente quale ambito va considerato quando consideriamo un rischio all’interno del GDPR.

L’oggetto del regolamento è la protezione dei diritti fondamentali dell’individuo, questo significa che questo è il parametro di rischio da valutare quando si considerano le implementazioni del GDPR …

L’ultimo punto ci ricorda che all’interno della Unione Europea abbiamo conquistato il diritto alla libera circolazione delle persone, delle merci e anche dei dati. Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …

Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …

Come referenza vi suggerisco anche di leggervi i seguenti “recitals”:

12345678910111213

Articolo 2

 

L’articolo due ci porta in un viaggio esotico in lande inesplorate, ove una brezza leggera ci accarezza e le onde del mare….

Er..credo di essermi un attimo lasciato trasportare, morfeo mi ha catturato… torniamo alla cruda realtà.

L’articolo due ci dice dove viene applicato sto benedetto GDPR.

Il punto uno ci dice dove si applica, gli altri punti dove non si applica.

Ovviamente ci interessa il primo punto…

  1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Si perché questo punto è fondamentale per capire l’ambito di applicazione, al solito iniziamo dalle parole per vedere se ne traiamo un senso …

Trattamento (Processing)

L’espressione generica indica che si ha a che fare con qualsiasi forma di trattamento eo manipolazione dei dati. Raccolta, archiviazione e lettura rientrano in questa descrizione…. Insomma qualsiasi cosa …

interamente automatizzato

Tradotto vuol dire tutti i sistemi che non richiedono intervento umano alcuno. Si pensi alla raccolta di dati via web per, ad esempio, una newsletter o un sito di marketing. I processi anche se non richiedono intervento umano sono soggetti al GDPR

parzialmente automatizzato

Nel caso vi sia intervento umano (ad esempio raccogli moduli scritti e li immetti in un sistema) il GDPR va comunque applicato. La norma prevede anche la parte umana di gestione, qualsiasi sia la forma. Anche il cartaceo è soggetto a GDPR.

non automatizzato

E qui ci casca l’asino …nel senso che se non lo hai ancora capito anche i tuoi documenti cartacei vanno considerati qui, non ci si scappa. Quindi non è che se pensi d fare il furbo e scrivi tutto su un block notes sei al sicuro…

archivio (originale Filing System)

Non facciamoci ingannare dalla terminologia. La traduzione archivio qui deriva da “Filing System” e non File System. Non parliamo di archiviazione digitale, ma di archiviazione tout court. C’hai presente i bei faldoni che lasci accessibili a chiunque…non puoi più farlo.

Insomma il regolamento si occupa della gestione e processo dei dati personali in qualunque loro forma indipendentemente dalla modalità di processo, archiviazione o raccolta.

Vi lascio l’emozionante esercizio di capire dove non si applica, io già ho faticato su questo.

E non dimenticativi i “recitals” per capire di cosa si parla: 1415161718192021

Ciaooo

 

 

 

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Guida al GDPR per chi non ne vuol sapere: la vedi la luce in fondo al tunnel? … è il treno! was originally published on The Puchi Herald Magazine

Guida al GDPR per chi non ne vuol sapere: e se provate a leggerlo il GDPR vi cala la palpebra?


 

Domanda: Che vuol dire GDPR?

 

Se otteniamo questo tipo di risposte:

  • Grandiosa Donazione Per Riluttanti?
  • Geniale Dono Per Repubblicani?
  • Generosa Dotazione Per Remittenti?

Allora abbiamo un piccolo problemino.

 

GDPR significa

General Data Protection Regulation

 

Allora proviamo a capirci:

almeno cosa significhi l’acronimo (che non richiede acredine nella lettura) dovrebbe essere assodato.

Insomma, ma lo avete sfogliato?

Se davvero volete implementarlo sto benedetto GDPR dovreste almeno provare a leggerlo, ma, vi assicuro, è una lettura non proprio amena.

Mettiamola così, se riuscite a non addormentarvi dopo la prima pagina siete già a buon punto, ma dopo averlo letto senza abbandonarvi tra le braccia di Morfeo (no non è il nome di un immigrato), viene il compito difficile: capirlo.

E si perché oltre ad essere una lettura non proprio divertente occorre anche capire che cavolo significhi tutta quella roba scritta in un legalese europeo.

Vediamo se ancora una volta, nel mio piccolo, riesco a darti una mano.

Iniziamo dal titolo:

General Data Protection Regulation.

General

Indica che si tratta di qualcosa di comprensivo, non nel senso che vi capisce, ma nel senso che comprende un sacco di cose.

Data

Ben lungi dall’essere Data il “robot umanoide” che in Start Trek Next Generation fungeva da ufficiale scientifico al servizio del comandante Picard, qui per data si intende, semplicemente, “i dati”.

Protection

Qui il termine fa riferimento alla protezione in senso lato delle risorse citate al termine precedente.

Il che significa che, utilizzando quanto appreso fino ad ora, stiamo parlando di un qualcosa che parla in maniera comprensiva della protezione dei dati.

Regulation

L’ultimo termine è Regulation. Questo termine merita un attimo più di attenzione, dal momento che è un termine specifico.

Directive Vs. Regulation

Ovviamente da buoni cittadini europei avete ben chiara la differenza tra Directive e Regulation. Fa parte della base minima di conoscenza civica che ognuno di noi dovrebbe avere (sono buono, non vi chiedo la differenza tra legge quadro e decreto legislativo).

Siccome io sono malfidente per definizione, mi permetto di supporre che non tutti abbiano chiaro la differenza tra “Directive” e “Regulation” e quindi provo a spiegarla.

Chiedo già scusa a giudici ed avvocati, legulei assortiti e giuristi vari per il linguaggio non proprio tecnico, ma lo scopo che mi propongo è quello di far capire le cose, non scrivere in “gergo” diventa quindi un obbligo.

Regulation

Quando ci troviamo di fronte a questa roba ci troviamo di fronte a una “legge” Europea che diventa parte integrante delle leggi di tutti gli stati membri.

In presenza di una “Regulation” gli stati membri non sono chiamati a legiferare. Il testo così come è (eventualmente tradotto nella lingua del paese) diventa parte integrante del suo corpo giuridico. Questo significa che vincoli, multe, azioni e altre cose alla legge collegate indicate nel testo sono immediatamente attuate nel momento in cui la “Regulation” diventa “attiva”

Come a dire dal 25 Maggio 2018 ti potresti aspettare un controllo e se non in regola ti potresti vedere comminata una multa pari al 4% del tuo giro d’affari… io ci starei attento…

Directive

Se la Regulation è un atto legislativo che entra immediatamente nel corpo giuridico del paese “cosi come è”, una direttiva (come quella che era in vigore prima del GDPR, la “Directive 95/46/EC” del 1995) è invece uno strumento tramite cui la UE setta gli obiettivi che ogni stato deve implementare attraverso la introduzione di leggi locali che devono regolare la materia in oggetto della “Directive”

La principale differenza tra le due è che in caso di “Regulation” tutti i paesi membri dell’UE si trovano di fronte ad una legislazione omogenea in termini di obiettivi, adempimenti e struttura, mentre nel caso della “Directive” è dato al singolo stato la potestà legislativa per legiferare in merito agli obiettivi definiti. Va da se che, anche se alla fine l’obiettivo deve essere raggiunto in maniera il più possibile omogenea tra i vari membri, la reale modalità di raggiungimento può variare sensibilmente da stato a stato in caso di “Directive”.

Il fatto che una “Regulation” entri in vigore cosi come è stata emanata dagli organismi UE non significa, in realtà, che lo stato che la applica non deve legiferare in alcun modo…alcune attività accessorie possono essere richieste per adeguare il corpus legislativo alla “Regulation” in maniera che questa sia applicabile. Attenzione che questo potrebbe erroneamente portare a pensare che la “Regulation” non sia quindi in vigore, sbagliato… funziona anche se ne mancano i pezzi accessori, non si scappa questa parte il prossimo anno volenti o nolenti.

Fatto questo doveroso cappellino introduttivo siamo ora in grado di leggere il titolo.

GDPR significa:

 

Legge EU comprensiva e vincolante sulla protezione dei dati

Bene abbiamo passato il primo scoglio nella lettura del documento. Adesso manca tutto il resto, ma si sa chi ben comincia è a metà dell’opera.

GDPR un po di chiarimenti prima di leggere

Visto che siamo riusciti a leggere il titolo (bravi bravi) è meglio fissarci in testa un paio di cose prima di proseguire la lettura, giusto per essere in grado di interpretare quel misterioso testo.

  • se non lo sai sallo

la prima cosa che dobbiamo metterci in testa è che il testo non è scritto per novizi o principianti, sta a noi andare a recuperare e capire le referenze nel testo. una cosa importante è ricordarsi che il GDPR è l’evoluzione della direttiva sulla privacy del 95, e quindi dobbiamo aspettarci almeno una somiglianza nella nomenclatura ed alcune assunzioni del tipo…questo è evidente era già presente nella legislazione precedente.

  • non aspettarti il dettaglio tecnico

NOn troverete nel testo un dettaglio o un manuale di istruzioni modello Ikea. purtroppo la norma va interpretata, molti dei riferimenti fatti in merito alle implementazioni IT ad esempio parlano di misure “adeguate” senza il dettaglio che vorresti vedere. Temo che questo significhi che tu hai una certa responsabilità implementativa che richiede anche di fare scelte consapevoli ed informate. Intendiamoci la cosa è voluta per rendere la norma attuabile ad un mondo tecnologico in continua evoluzione. Ma non pensare per un momento che questa indeterminatezza ti autorizzi ad usare sistemi operativi obsoleti tipo Windows Millenium o robe del genere, fallo e poi prova a dimostrare che hai messo in piedi misure “ragionevoli” di protezione.

  • Anche se sei piccolo devi seguire le regole

Non importa quale che sia la tua dimensione, le regole vanno seguite da tutti. Ognuno avrà l’obbligo di implementare le misure adatte in maniera “ragionevole” e confacente alle proprie possibilità. tradotto questo significa che non puoi fare finta di niente e relegare, ad esempio, l’it ad un retropensiero… sempio: i backup li devi fare e devono funzionare e lo devi poter provare…preparati.

  • Vale ‘inversione dell’onere della prova: sei colpevole fino a che non provi la tua innocenza

Ebbene secondo il GDPR sei tu che devi dimostrare di essere allineato ai dettami di legge. Il non essere in grado di farlo è già di per sé una ammissione di colpa. Chi ti viene a controllare (il garante in Italia? vedremo) ti chiede di dimostrargli che hai fatto le cose bene, non è li che deve cercare il fatto che non lo hai fatto. Questo è esplicitamente detto nel testo e più volte rinforzato come quando si specifica chiaramente che il rischio residuo se troppo grande deve essere concordato con l’autorità di riferimento.

  • Il rischio di cui ti devi preoccupare è al di fuori della azienda, questo cambia i parametri della valutazione.

Quando nel testo si parla di rischio deve essere chiaro che il rischio è che si danneggi la libertà dell’individuo a cui i dati sono correlati. in altre parole non devi valutare solo quanto sia facile che ti buchino la rete o ti rubino i faldoni con i dati, ma anche che può accedere se quei dati vengono usati male nei confronti del soggetto a cui sono riferiti.

  • Le multe non sono una per tutto, sono multe su punti specifici. E rimane poi il danno arrecato a terzi

qui mi sembra che molti non abbiano chiaro il fatto che la struttura delle multe del GDPR non ti garantisce di prenderne solo una che copra tutte le inadempienze. Rischi di beccartene piu di una se sei una multinazionale o se sei beccato con le mani nella marmellata in più aree… ed in ogni caso le multe fanno riferimento alla non attuazione della normativa, ma non coprono i danni procurati alle persone a cui i dati sono riferiti, e le eventuali cause civili eo penali associate.

  • I soggetti non sono solo i tuoi clienti

Il GDPR fa riferimento ai cittadini e residenti in UE. in questa categoria rientrano non solo i tuoi clienti,ma i tuoi contatti di marketing, i tuoi fornitori ed anche i tuoi dipendenti.

 

beh che dite abbiamo fatto abbastanza premesse? se si buona lettura:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

ciaooooo

a

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Guida al GDPR per chi non ne vuol sapere: e se provate a leggerlo il GDPR vi cala la palpebra? was originally published on The Puchi Herald Magazine